如何使用存储的无源库密码

Question

我试图弄清楚在生产环境中如何使用Ansible-Vault密码。我看过无数关于如何使用"Ansible-Vault“的vidoes和教程，它们都得出了同样的结论：

1. 使用ansible-vault encrypt用敏感变量加密文件
2. 将您的保险库密码存储在文本文件中，并在运行剧本：ànsible-playbook --vault-password-file passwordFile myPlaybook.yml时使用它

我似乎不明白的问题是：

1. 以明文形式存储的保险库密码，这是一个安全问题。
2. 如何将密码文件集成到脚本中(如果需要的话)。如果我加密密码文件，它会产生需要解决的新问题。

可能是我的无知，但对我来说，这更像是个麻烦.

谢谢。

Answer 1

在Ansible-Engine中，密码将不惜任何代价公开.在Ansible-Engine或Ansible OpenSource版本中，还没有处理此场景的机制。Ansible Tower已经有了相应的解决方案，它将在主节点中加密和存储保险库密码。

如果您正在使用任何DevOps管道-为密码、文件路径或实际值从Jenkins创建环境变量。

如果您在AWS或任何云平台上--使用任何加密机制对值进行加密。

Answer 2

我只是想在这个问题上加上一个注释：

我同意必须在某一时刻暴露安全保险库密码。解决这一问题的方法可能是：pass (标准Unix密码管理器)。每个密码都驻留在一个GPG加密文件中，该文件也可以在Linux管理员之间共享。